Debesų kompiuterija: apie ką reikėtų pagalvoti prieš pereinant į „debesis“
2017 - 04 - 10
Straipsnio autorius: Julija Beldeninovienė
Julija Beldeninovienė, advokatų kontoros „Cobalt“ vyresnioji teisininkė, advokatė
Pastaraisiais metais debesų kompiuterija tampa vis populiaresnė. Tačiau perkant debesų kompiuterijos paslaugas dažniausiai visas dėmesys sutelkiamas į techninius bei organizacinius klausimus, tuo metu teisiniai aspektai lieka neapsvarstyti arba sprendžiami labai paviršutiniškai. Toks požiūris gali brangiai kainuoti, nes sudarant sutartį (ir netgi anksčiau) neįvertinus tam tikrų teisinių rizikų, įmonė gali susidurti su įvairiomis problemomis ateityje – nuo klientų asmens duomenų apsaugos pažeidimo iki bendrovės svarbių dokumentų praradimo bei galimybės išreikalauti patirtus nuostolius iš paslaugų teikėjo.
Todėl, siekiant minimizuoti debesų kompiuterijos paslaugų teisines rizikas, visų pirmą, reiktų įvertinti, ar nėra teisinių kliūčių pereiti prie debesų kompiuterijos.
Kiekviena bendrovė turėtų išsiaiškinti, ar jos verslo modelis bei galiojančios sutartys leidžia naudoti debesų kompiuterijos paslaugas, ir kokiomis sąlygomis tai įmanoma. Pavyzdžiui, bendrovė tvarko asmens duomenis, kuriems yra taikomas ypatingas reglamentavimas bei saugumo reikalavimai. Be to, kad tokiu atveju reikėtų ieškoti debesų kompiuterijos paslaugų teikėjo, garantuojančio taikomų asmens duomenų apsaugos reikalavimų laikymąsi, papildomai būtina įvertinti ir tai, kurioje valstybėje yra paslaugų teikėjo serveriai, ir ar nereikia gauti Valstybinės duomenų apsaugos inspekcijos leidimo teikti duomenis į trečiąsias valstybes. Kitas pavyzdys – bendrovė gali būti pasirašiusi konfidencialumo ar kitokias sutartis su trečiaisiais asmenimis, kurių pagrindu ji gavo tam tikrą konfidencialią informaciją. Tokios sutartys gali riboti konfidencialios informacijos perdavimą trečiajai šaliai be išankstinio informacijos savininko sutikimo, todėl dokumentų, turinčių konfidencialią informaciją sudarančių duomenų, perkėlimas į „debesis“ be išankstinio duomenų savininko sutikimo reikštų sutarties pažeidimą.
Antra – reikėtų patikrinti debesų kompiuterijos paslaugų teikėją. Be to, kad reiktų nustatyti, ar paslaugų teikėjo siūlomos paslaugos ir techniniai pajėgumai atitinka bendrovės poreikį, svarbu įvertinti, ar paslaugų teikėjas yra finansiškai stabilus, kaip ilgai paslaugų teikėjas veikia rinkoje, ir ar paslaugų teikėjas užsako dalį paslaugų iš trečiųjų asmenų, ir jeigu taip, ar tinkamai įformintas toks bendradarbiavimas; ar paslaugų teikėjas turi planą, kaip užtikrinti sklandžią veiklą, o sutrikus jai – sparčiai atkurti. Ir ar tai suderinama su bendrovės verslo poreikiais.
Kitas žingsnis – esant galimybei, įtraukti į sutartį reikiamus saugiklius dėl debesų kompiuterijos paslaugų teikimo. Debesų kompiuterijos paslaugų teikėjai paprastai siūlo savo standartines sutartis, kurios riboja paslaugų teikėjo atsakomybę bei minimaliai aprašo paslaugų teikėjo įsipareigojimus. Todėl rekomenduotina peržiūrėti siūlomą sutarties projektą ir papildyti jį nuostatomis, maksimaliai apsaugančiomis užsakovo interesus.
Tam tikras rekomendacijas dėl debesų kompiuterijos paslaugų teikėjo sutartinių įsipareigojimų galima rasti Ryšių reguliavimo tarnybos Tinklų ir informacijos saugumo parengtose „Rekomendacijose debesų kompiuterijos paslaugų naudotojams“. Atsižvelgiant į šias rekomendacijas ir Lietuvoje bei užsienyje vystomą praktiką, sutartyje dėl debesų kompiuterijos paslaugų teikimo rekomenduotina numatyti nuostatas, nustatančias paslaugų teikėjo konfidencialumo ir asmens duomenų apsaugos įsipareigojimus, taip pat jo atsakomybę už šių įsipareigojimų pažeidimą. Taip pat siūlytina numatyti šalių susitarimus dėl paslaugų teikėjo duomenų centro alokacijos vietos (šalies) bei draudimą perkelti paslaugų naudotojo duomenis į kitas vietas (šalis) be išankstinio jo sutikimo, taip pat terminus ir priemones, kurių paslaugų teikėjas turi imtis, kad būtų išspręstos techninės problemos, ir atsakomybę už jų nesilaikymą. Be to, svarbu nepamiršti sutartyje įvardinti sutrikusių paslaugų atstatymo terminus ir dėl paslaugų sutrikdymo atsiradusių nuostolių atlyginimo tvarką. Galiausiai, labai svarbu sutartyje aptarti dokumentų perkėlimo iš debesų kompiuterijos paslaugų teikėjo serverio į bendrovės nurodytą vietą (pvz., kito paslaugų teikėjo serverį) procedūras sutarties nutraukimo atveju, galiojimo termino pasibaigimo ar paslaugų teikėjo bankroto atveju.
Ir pabaigai, verta atkreipti dėmesį į tai, kad paprastai debesų kompiuterijos paslaugų teikėjai sutartyse siekia apriboti savo atsakomybę – įprastai numato atlyginti tik tiesioginius nuostolius, ir jų dydis negali viršyti sutartyje nustatytos sumos (pvz., metinio paslaugų mokesčio). Kadangi didžiausiai nuostoliai – netinkamai teikiamos debesų kompiuterijos paslaugos, kaip tik ir yra netiesioginiai nuostoliai (pvz., sutriko veikla, nes negali pasiekti reikiamų dokumentų), rekomenduotina derėtis, kad tiekėjas išbrauktų iš sutarties jo atsakomybę ribojančias sąlygas.